تعني خصوصية البيانات الحفاظ على خصوصية معلومات العملاء وسريتها. ولكن الاتفاقيات مع أطراف ثالثة بشأن مشاركة البيانات، وملكية البيانات، وحفظ البيانات لا تزال تشكل قضايا تواجه كبار مسؤولي المعلومات والمؤسسة القانونية.
كيف تقوم بتغطية كل هذه القواعد لضمان خصوصية البيانات؟
أولاً، ما هي خصوصية البيانات؟
إن أحد التحديات التي تواجهنا هو أن تعريفات خصوصية البيانات تختلف باختلاف الأشخاص الذين نتحدث إليهم. وهذا يجعل حماية معلومات المستهلك ممارسة غير مؤكدة.
في حالة واحدةيتم تعريف خصوصية البيانات بواسطة Builtin على أنها “ممارسة حماية المعلومات الشخصية أو الخاصة أو الحساسة، وضمان جمعها بالموافقة المناسبة، والحفاظ عليها بشكل آمن واستخدامها فقط للأغراض المعتمدة، مع احترام الحقوق الفردية واللوائح الحالية”.
ومع ذلك، فإن خصوصية البيانات هي أيضا تم تعريفه بواسطة IBM على سبيل المثال: “المبدأ الذي ينص على أن الشخص يجب أن يكون لديه سيطرة على بياناته الشخصية، بما في ذلك القدرة على تحديد كيفية قيام المنظمات بجمع بياناته وتخزينها واستخدامها”.
من الناحية القانونية، يتم وصف انتهاك الخصوصية بقلم كلية الحقوق بجامعة كورنيل “على سبيل المثال: “”التعدي على حق الفرد المحمي في الخصوصية من خلال مجموعة متنوعة من الإجراءات التطفلية أو غير المرغوب فيها. ويمكن أن تتراوح مثل هذه الانتهاكات للخصوصية من التعديات المادية على الممتلكات الخاصة إلى الكشف غير المشروع عن معلومات أو صور سرية””.”
كيف تحمي الجهات التنظيمية خصوصية البيانات
نظرًا لأن التعريفات الواضحة لخصوصية البيانات مراوغة، فقد فضلت العديد من الشركات تبني حماية خصوصية البيانات المذكورة في قانون حماية البيانات الأوروبي. اللائحة العامة لحماية البيانات يمنح قانون حماية البيانات العامة المستهلكين الحق في تقليل آثار المعلومات التي يتركونها عندما يتصفحون وسائل التواصل الاجتماعي أو يستخدمون الإنترنت. كما يستطيع الأفراد طلب البيانات التي تجمعها الشركات وتحتفظ بها عنهم، والمطالبة بحذفها. باختصار، الافتراض هو أن المستهلكين الأفراد “يملكون” بياناتهم، وأنهم لديهم الحق في تحديد كيفية تخصيص هذه البيانات واستخدامها.
يُعد اللائحة العامة لحماية البيانات (GDPR) التوجيه الأكثر شمولاً بشأن خصوصية البيانات حتى الآن، ولهذا السبب أعربت العديد من البلدان عن رغبتها في اعتمادها. في الولايات المتحدةومع ذلك، فإن المعارضة للتنظيم أعاقت الجهود الرامية إلى اعتماد حماية صارمة مماثلة للبيانات، وقد أدى هذا إلى رفع دعاوى قضائية.
إن التسوية التي أبرمتها جوجل مع المستخدمين بقيمة 392 مليون دولار في عام 2022 هي أحد الأمثلة. في تلك القضية، رفعت مجموعة من المدعين العامين الأميركيين دعوى قضائية ضد جوجل نيابة عن ناخبيهم. وزعمت الدعوى أن جوجل كانت تتعقب مواقع المستخدمين دون الإشارة بوضوح للمستخدمين إلى أن تتبع الموقع يجري.
وقد دفعت شركة جوجل تعويضات مالية كجزء من التسوية. كما كان عليها أن تبلغ المستخدمين بطرق أكثر وضوحًا حول كيفية جمع بياناتهم، وكيف يمكن للمستخدمين حذفها، وكيف يمكنهم التحكم في ما إذا كان يتم تعقبهم أم لا.
ولقد جلبت قضية جوجل معها عواقب وخيمة، حيث كانت العديد من الشركات إلى جانب جوجل تقدم وتبيع معلومات عن مستخدميها إلى أطراف ثالثة. وكانت هذه الشركات تبلغ المستخدمين بممارساتها في تبادل البيانات في مستندات مطبوعة بخط صغير يبلغ طولها مئات الصفحات، ولا يُتوقع من المستخدم العادي أن يقرأها. ومع ذلك، إذا أراد المستخدم استخدام خدمة أو تطبيق معين، فعليه النقر على زر “الموافقة على الشروط”، وإلا فسيتم حظره.
وقد استفادت الشركات من هذه الممارسة بشكل غير عادل. وبموجب القانون، يمكن اعتبار ممارسة مثل هذه بمثابة “عقد إلحاق”، أي أن أحد طرفي العقد يتمتع بميزة غير عادلة على الطرف الآخر لأن الطرف المتمتع بالميزة كتب العقد وأنشأه بطريقة لا يستطيع الطرف الآخر قراءته وهضمه بسهولة.
وجهة النظر القانونية المعارضة هي أن كل فرد لديه مسؤولية قراءة وفهم كل كلمة في العقد الذي يوافق عليه، حتى الكلمات المطبوعة بحروف صغيرة.
والنتيجة النهائية؟
إن المجتمع القانوني منقسم بشأن حقوق خصوصية البيانات، ولم يحقق الكونجرس الكثير من التقدم أيضًا.
وماذا في ذلك’س ما هو النهج الأفضل لحماية خصوصية البيانات؟
ستواصل الإدارات القانونية للشركات صياغة عقود اتفاقيات ضخمة مليئة بأحكام مطبوعة بخط صغير وإخلاءات المسؤولية. لا يستطيع مديرو تكنولوجيا المعلومات تجنب هذا، لكنهم يستطيع تقديم عرض واضح لمستخدمي المواقع الإلكترونية والخدمات حول كيفية جمع البيانات ومشاركتها والشروط التي يتم بموجبها جمعها. وتقوم العديد من الشركات بهذا الأمر ــ كما توفر آليات “الانسحاب” للمستخدمين الذين يشعرون بعدم الارتياح إزاء سياسة خصوصية البيانات الخاصة بالشركة.
ومع ذلك، فإن اتخاذ هذه الخطوات قد يكون أسهل قولاً من الفعل.
هناك اتفاقيات مع أطراف ثالثة يبرمها كبار المديرين تتضمن أحكاماً تتعلق بمشاركة البيانات، وهناك أيضاً مسألة حفظ البيانات. على سبيل المثال، إذا اخترت تخزين بعض بيانات عملائك على خدمة سحابية ولم تعد لديك الوصاية المباشرة على بياناتك، وواجه مزود الخدمة السحابية خرقاً يشمل بياناتك، فمن المسؤول عن ذلك؟
مرة أخرى، لا توجد تفويضات قانونية أو فيدرالية صارمة تعالج هذه المشكلة – ولكن شركات التأمين يفعل التعامل معها.
“في بيئة سحابية، مالك البيانات يواجه المسؤولية عن الخسائر الناتجة عن خرق البيانات، حتى لو كانت إخفاقات الأمن هي خطأ حامل البيانات “يقول (مزود الخدمة السحابية)” خدمات التأمين الشفافة.
وتضيف منظمة الشفافية أن “قوانين خصوصية البيانات الفيدرالية والولائية في الولايات المتحدة لا تفرض مسؤوليات مدنية في حالة حدوث اختراق إلكتروني”، ولكن “عادةً ما تُفرض المسؤولية إذا فشلت جهة ما في علاج أو تخفيف الضرر بمجرد حدوث الاختراق”. وأضافت أن “الفشل في إخطار الأفراد المتضررين في الوقت المناسب بموجب قانون إخطار خرق البيانات في الولاية، قد يؤدي إلى المسؤولية عن العقوبات المدنية التي يفرضها المدعي العام للولاية أو أي وكالة إنفاذ أخرى في الولاية”.
ولهذا السبب أصبح من الممارسات القياسية في مجال خصوصية البيانات اليوم أن تقوم الشركات بإخطار المستخدمين والعملاء على الفور بأي خرق، للتخفيف من آثار الخرق، وتزويد العملاء بخدمات الأمن والمراقبة المجانية لمدة عام واحد.
ويجب أن يكون من الممارسات القياسية أيضًا الحصول على بوليصة تأمين المسؤولية السيبرانية، وإدراج المسؤولية السيبرانية كمسألة مخاطرة في خطة إدارة المخاطر الشاملة للشركة.
يمكن أن يختلف نطاق تغطية التأمين على المسؤولية السيبرانية في طبيعته، اعتمادًا على ما ترغب الشركة في تغطيته ودفعه.
تغطي معظم سياسات التأمين على المسؤولية السيبرانية النفقات الخاصة بالطرف الأول والثالث، وهي تتضمن تكاليف إخطار العملاء والمستخدمين، والتحليلات الجنائية لتحديد كيفية حدوث الاختراق، وخدمات مراقبة الائتمان والاحتيال للعملاء، وإدارة الأزمات للتخفيف من الضرر الذي يلحق بسمعة الشركة.
في حالة قيام أحد مزودي الخدمات السحابية بتسريب بياناتك، فقد تكون مسؤولاً عن الأحكام الصادرة ضد هذا المزود أيضًا، وقد تحتاج إلى رفع دعوى قضائية ضد المزود.
“إن مطالبة خرق البيانات لبائع سحابي هي في الحقيقة مطالبة بالأخطاء والإغفالات (E&O)”، كما يقول وودروف سوير للمحاماة“عادةً ما لا يتحمل بائع الخدمات السحابية أي مسؤولية مباشرة تجاه الأفراد الذين تعرضت بياناتهم للاختراق، ولكن قد يكون هناك مطالبة من العميل بسبب فشله في أداء الخدمات (في هذه الحالة، الحفاظ على أمان بيانات العملاء). ولهذا السبب، يتم عادةً تجميع الأخطاء والإغفالات والتغطية السيبرانية معًا في سياسة واحدة لشركات التكنولوجيا.”
لا يوجد اتفاق عالمي حول ماهية خصوصية البيانات. وهذا يجعل إدارة خصوصية البيانات تحديًا للشركات ومديري تكنولوجيا المعلومات لديها.
في هذه البيئة، من المهم لمسؤولي المعلومات اعتماد أكبر عدد ممكن من ممارسات خصوصية البيانات المقبولة على نطاق واسع، والبقاء على اتصال مع الإدارة والفريق القانوني، وإدراج خصوصية البيانات كمتطلب في طلبات تقديم العروض للبائعين. والمطالبة بضمان الجودة لخصوصية البيانات في كل تطبيق جديد.
